Í síðustu grein fjallaði ég um vafrakökur, tilurð þeirra, virkni og tengsl við persónuvernd. Í þessum pistli ætla ég að fjalla um þær skyldur sem vefsíðurekandi þarf að uppfylla til að notkun á vafrakökum sé lögmæt.
Lögmætur tilgangur
Notkun á vafrakökum þarf að fara fram í lögmætum tilgangi og því þarf vinnslan að falla undir eitthvert af heimildarákvæðum persónuverndarlaga og vera í samræmi við meginreglur laganna. Ef um viðkvæmar persónuupplýsingar er að ræða þá þarf vinnslan einnig að uppfylla sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.
Nauðsynlegar vafrakökur
Færa má rök fyrir því að notkun nauðsynlegra vafrakaka fari fram í þágu lögmætra hagsmuna félags, í þeim tilgangi að tryggja þá grunnvirkni vefsvæðis sem notandi hefur óskað eftir að nýta sér. Þær þarfnast því ekki sérstaks samþykkis notenda.
Ónauðsynlegar vafrakökur
Notkun ónauðsynlegra vafrakaka er alltaf háð samþykki notenda og óheimilt er að virkja þær fyrr en samþykki er veitt. Tæknileg útfærsla þarf að vera þannig að hún uppfylli þessar kröfur og algengasta leiðin til þess er að nota svokallaðan köku- og samþykkisborða.
Fræðsluskylda
Liður í ábyrgðarskyldu fyrirtækja og stjórnvalda er að uppfylla skyldu um gagnsæi við vinnslu persónuupplýsinga. Á það við hvort sem um er að ræða nauðsynlegar vafrakökur eða ekki. Þær upplýsingar sem fram þurfa að koma eru nokkuð yfirgripsmiklar og því hefur skapast sú hefð að lista þær upp í svokallaðri persónuverndarstefnu. Til viðbótar þarf að upplýsa notendur vefsíðna um vafrakökurnar sjálfar, það er að segja hverskonar vafrakökur er verið að nota á vefnum, hvaða upplýsingum þær safna og í hvaða tilgangi. Einnig hver uppruni þeirra er og hversu lengi vafrakökurnar lifa á búnaði notenda. Ennfremur hvaða rétt notendur hafa til að breyta stillingum varðandi virkni þeirra.
Það felst í orðanna hljóðan að notandi getur ekki veitt upplýst samþykki um notkun á vafrakökum, ef hann hefur ekki upplýsingar um tilurð þeirra, tilgang og virkni. Til að uppfylla þessa skyldu hafa jafnan verið farnar tvær leiðir. Annars vegar sú leið að setja upp sérstaka vafrakökustefnu og hins vegar sú leið að hafa kafla um vafrakökur inni í persónuverndarstefnu.
Köku- og samþykkisborði þarf að hafa vísun í frekari upplýsingar eins og persónuverndarstefnu og vafrakökustefnu til að uppfyllt séu skilyrði um fræðsluskyldu. þá þarf texti á borða og stefnum þarf að vera á sama tungumáli og vefurinn til að skilmálar séu auðskiljanlegir og gagnsæir. Sé vefsíða á fleiri tungumálum en einu, þá ber að hafa stefnurnar á sömu tungumálum, sem og köku- og samþykkisborða.
Köku- og samþykkisborði
Köku- og samþykkisborði þarf að vera rétt upp settur. Hann má ekki vera þannig hannaður að hann hvetji notendur ómeðvitað til að veita samþykki frekar en að synja, til dæmis af því hnappur fyrir samþykki er áberandi að stærð eða lit á meðan möguleiki til að synja er smár textahlekkur eða að það er jafnvel enginn möguleiki til að hafna vafrakökum. Það á að vera jafn auðvelt fyrir notanda að veita samþykki fyrir vafrakökum og að synja notkun þeirra.
Flokka þarf vafrakökur eftir tilgangi þeirra til að uppfylla skyldu um sértækt og upplýst samþykki. Sértæki hlutinn felst í þessu tilfelli í því að notandi viti hvaða tilgangi vafrakökurnar þjóna, það er að segja hvort þær eru nauðsynlegar eða ekki og geti þá veitt samþykki miðað við ætlaðan tilgang. Algengt er að flokka ónauðsynlegar vafrakökur í tölfræðikökur, markaðskökur og virknikökur. Þannig gæti notandi hafnað markaðskökum í heild sinni en valið að samþykkja virknikökur. Hinn þátturinn varðandi upplýst samþykki snýr að því að upplýsa hvaða vafrakökur er verið að nota í hverjum flokki og í hvaða tilgangi.
Innbyggð persónuvernd
Uppfylla þarf skyldu um innbyggða persónuvernd sem snýr að ráðstöfunum sem hannaðar eru og innbyggðar í hugbúnað og vinnslu í þeim tilgangi að fylgja meginreglum persónuverndarlaga. Dæmi um slíkt er til dæmis kerfi á bak við köku- og samþykkisborða sem hefur innbyggðan þann möguleika að notandi geti breytt stillingum er varða vinnslu á persónuupplýsingum viðkomandi.
Sjálfgefin persónuvernd
Uppfylla þarf skyldu um sjálfgefna persónuvernd. Sjálfgefin persónuvernd vísar til þess að sjálfgefið sé að eingöngu séu unnar nauðsynlegar persónuupplýsingar og ekkert umfram það. Dæmi um slíkt er að eingöngu séu virkjaðar nauðsynlegar vafrakökur þegar notandi kemur inn á vefsíðu.
Önnur svipuð rakningartækni
Til viðbótar við vafrakökur er ýmis önnur rakningartækni notuð á vefsíðum og gildir það sama um notkun þeirra, vinnsla persónuupplýsinga þarf ávallt að vera í samræmi við grundvallarsjónarmið og reglur um persónuvernd.
Þar til næst…
